ลirketten yapฤฑlan aรงฤฑklamaya gรถre, en az 2015 yฤฑlฤฑndan beri kรถtรผ niyetli etkinliklerin arkasฤฑnda yer alan ve “Ferocious Kitten” olarak adlandฤฑrฤฑlan grup, verileri รงalmak ve hedeflenen cihazda komutlar yรผrรผtmek iรงin “MarkiRAT” adlฤฑ รถzel bir kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ kullanฤฑyor. Kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn ayrฤฑca virรผslรผ kullanฤฑcฤฑnฤฑn Chrome tarayฤฑcฤฑsฤฑnฤฑ ve Telegram uygulamasฤฑnฤฑ ele geรงirebilecek varyantlarฤฑ da bulunuyor.
Bu yฤฑlฤฑn mart ayฤฑnda VirusTotal’a ลรผpheli bir belge yรผklendi ve Twitter’daki bir gรถnderiyle kamuoyunun bilgisine sunuldu. Tiviti fark eden Kaspersky araลtฤฑrmacฤฑlarฤฑ, daha fazla araลtฤฑrma yapmaya karar verdi. Bulduklarฤฑ ลey, ฤฐran’da Farsรงa konuลan kiลilere karลฤฑ yรผrรผtรผlen 6 yฤฑllฤฑk bir gรถzetim kampanyasฤฑydฤฑ. O zamandan beri kampanyanฤฑn arkasฤฑndaki aktรถrler “Ferocious Kitten” adฤฑyla anฤฑlmaya baลlandฤฑ.
En az 2015’ten beri aktif olan “Ferocious Kitten”, kรถtรผ niyetli makrolar iรงeren sahte belgelerle kurbanlarฤฑnฤฑ hedef alฤฑyor. Bu belgeler, ฤฐran rejimine karลฤฑ eylemleri gรถsteren gรถrรผntรผler veya videolar (protestolar veya direniล kamplarฤฑndan gรถrรผntรผler) ลeklinde gizleniyor.
Sahte belgelerdeki ilk mesajlar, hedefi ekli resimleri veya videolarฤฑ aรงmak iรงin ikna etmeye รงalฤฑลฤฑyor. Kurban kabul ederse kรถtรผ niyetli yรผrรผtรผlebilir dosyalar hedeflenen sisteme bฤฑrakฤฑlฤฑyor ve tuzak iรงerik ekranda gรถrรผntรผleniyor.
Bu yรผrรผtรผlebilir dosyalar, “MarkiRAT” olarak bilinen kรถtรผ amaรงlฤฑ yรผkรผ bilgisayara indiriyor. MarkiRAT, virรผs bulaลmฤฑล sisteme indirildikten sonra tรผm pano iรงeriฤini kopyalamak ve tรผm tuล vuruลlarฤฑnฤฑ kaydetmek iรงin bir tuล kaydedici baลlatฤฑyor. MarkiRAT ayrฤฑca, saldฤฑrganlara dosya indirme ve yรผkleme yetenekleri saฤladฤฑฤฤฑ gibi onlara virรผslรผ makinede rastgele komutlar yรผrรผtme yeteneฤi de sunuyor.
Kaspersky araลtฤฑrmacฤฑlarฤฑ, baลka MarkiRAT varyantฤฑnฤฑ da ortaya รงฤฑkardฤฑ
Kaspersky araลtฤฑrmacฤฑlarฤฑ, birkaรง baลka MarkiRAT varyantฤฑnฤฑ da ortaya รงฤฑkardฤฑ. Bunlardan biri Telegram’ฤฑn yรผrรผtรผlmesine mรผdahale etme ve birlikte kรถtรผ amaรงlฤฑ yazฤฑlฤฑm baลlatma yeteneฤine sahip. Bunu virรผslรผ cihazlarฤฑ Telegram’ฤฑn dahili veri deposu iรงinde arayarak yapฤฑyor. Varsa MarkiRAT kendisini bu depoya kopyalฤฑyor ve deฤiลtirilmiล depoyu uygulamanฤฑn kendisiyle birlikte baลlatmak iรงin Telegram kฤฑsayolunu deฤiลtiriyor.
Baลka bir varyant, cihazฤฑn Chrome tarayฤฑcฤฑ kฤฑsayolunu Telegram’ฤฑ hedefleyen varyanta benzer ลekilde deฤiลtiriyor. Sonuรง olarak kullanฤฑcฤฑ Chrome’u her baลlattฤฑฤฤฑnda MarkiRAT da onunla birlikte รงalฤฑลmaya baลlฤฑyor.
Yine baลka bir varyant, internet sansรผrรผnรผ atlamak iรงin sฤฑklฤฑkla kullanฤฑlan aรงฤฑk kaynaklฤฑ bir VPN aracฤฑ olan Psiphon’un arka kapฤฑ sรผrรผmรผnden oluลuyor. Kaspersky analiz iรงin herhangi bir รถzel รถrnek elde edememesine raฤmen bu iลin arkasฤฑndakilerin Android cihazlarฤฑ hedef alan kรถtรผ niyetli eklentiler geliลtirdiฤine dair kanฤฑtlar da buldu.
Kampanyanฤฑn kurbanlarฤฑ Farsรงa konuลuyor ve muhtemelen ฤฐran’da yaลฤฑyor. Sahte belgelerin iรงeriฤi, saldฤฑrganlarฤฑn รถzellikle รผlke iรงindeki protesto hareketlerinin destekรงilerinin peลine dรผลtรผฤรผnรผ gรถsteriyor.
“Gรถmรผlรผ bir yรผk yerine bir indirici kullanan daha yeni bir dรผz bir varyanta da rastladฤฑk”
Aรงฤฑklamada gรถrรผลlerine yer verilen Global Araลtฤฑrma ve Analiz Ekibi (GReAT) Kฤฑdemli Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Mark Lechtik, “MarkiRAT kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ ve beraberindeki araรง seti karmaลฤฑk olmasa da grubun Chrome ve Telegram iรงin รถzel varyantlar oluลturmasฤฑ ilginรง bir yaklaลฤฑm. Bu durum, tehdit aktรถrlerinin mevcut araรง setlerini yeni รถzellikler ve yeteneklerle zenginleลtirmek yerine hedef ortamlarฤฑna uyarlamaya daha fazla odaklandฤฑklarฤฑnฤฑ gรถsteriyor.” ifadelerini kullandฤฑ.
GReAT Kฤฑdemli Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Paul Rascagneres ise gรถmรผlรผ bir yรผk yerine bir indirici kullanan daha yeni bir dรผz bir varyanta da rastladฤฑklarฤฑnฤฑ belirterek, bunun; grubun hala รงok aktif olduฤunu, taktiklerini, tekniklerini ve prosedรผrlerini deฤiลtirme sรผrecinde olabileceฤini gรถsterdiฤini kaydetti.
GReAT Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Aseel Kayal ise “Ferocious Kitten’ฤฑn maฤduriyeti ve TTP’leri, bรถlgedeki diฤer aktรถrlere, yani Domestic Kitten ve Rampant Kitten’e benziyor. Bunlar birlikte ฤฐran’da daha geniล bir gรถzetim kampanyasฤฑ ekosistemi oluลturuyorlar. Bu tรผr tehdit gruplarฤฑ pek sฤฑk gรผndeme gelmemiล gibi gรถrรผnรผyor. Bu da radar altฤฑnda daha uzun sรผre kalmalarฤฑnฤฑ mรผmkรผn kฤฑlฤฑyor, altyapฤฑlarฤฑnฤฑ ve araรง setlerini yeniden kullanmalarฤฑnฤฑ kolaylaลtฤฑrฤฑyor.” deฤerlendirmesinde bulundu.
Kaspersky uzmanlarฤฑ, kuruluลun รงalฤฑลanlarฤฑnฤฑ Ferocious Kitten gibi APT’lerden korumak iรงin ลunlarฤฑ รถneriyor:
“Kรถtรผ niyetli, ikna edici e-postalara veya mesajlara karลฤฑ dikkat edin. Kullandฤฑฤฤฑnฤฑz tรผm uygulama ve hizmetlerdeki gizlilik รถnlemlerinin her zaman farkฤฑnda olun. Bilinmeyen kaynaklardan gelen hiรงbir baฤlantฤฑya tฤฑklamayฤฑn ve ลรผpheli dosya veya ekleri aรงmayฤฑn. Gรผncellemeleri daima yรผkleyin. Bazฤฑlarฤฑ kritik gรผvenlik sorunlarฤฑna dair dรผzeltmeler iรงerebilir. Kaspersky Internet Security veya Kaspersky Security Cloud gibi sisteminize ve cihazlarฤฑnฤฑza uygun saฤlam bir gรผvenlik รงรถzรผmรผ kullanฤฑn.”
